Zpedia 

/ O que é movimentação lateral?

O que é movimentação lateral?

A movimentação lateral é um conjunto de técnicas que criminosos cibernéticos usam para acessar outros dispositivos, aplicativos ou ativos em uma rede depois de comprometerem um terminal pela primeira vez. Usando credenciais de login roubadas ou outros métodos de escalonamento de privilégios, os criminosos se movem pela rede à medida que se aproximam de dados sigilosos. Os invasores disfarçam suas atividades como tráfego de rede permitido para evitar a detecção e prolongar seus ataques.

Assista nosso pequeno vídeo

Como acontece a movimentação lateral?

Um criminoso pode se mover lateralmente após comprometer um terminal conectado a uma rede que não possui controles de acesso adequados. Ele pode conseguir isso por meio do abuso de credenciais, explorando uma vulnerabilidade em um servidor ou aplicativo, utilizando malware para criar um backdoor, e por vários outros métodos. Muitas medidas convencionais de segurança de rede não detectam as atividades maliciosas porque elas parecem vir de usuários legítimos.

Vejamos mais de perto como a movimentação lateral se desenvolve.

Estágios da movimentação lateral

Um ataque de movimentação lateral ocorre em três etapas principais:

  1. Reconhecimento: o criminoso explora a rede. À medida que compreende as convenções de nomenclatura e hierarquias de rede, identifica portas de firewall abertas e localiza outros pontos fracos, o agressor pode formular um plano para se aprofundar na rede.
  2. Infiltração: usando credenciais de login geralmente obtidas por meio de ataques de phishing ou outros tipos de engenharia social, o agressor emprega técnicas de despejo de credenciais e escalonamento de privilégios para obter acesso a diferentes partes do sistema.
  3. Acesso: assim que o agressor localiza o sistema ou os dados de destino, ele pode começar seu ataque de fato, entregando uma carga útil de malware, exfiltrando ou destruindo dados ou vários outros fins possíveis.

Que tipos de ataques usam a movimentação lateral?

A maioria dos tipos de ataques inclui, ou pode incluir, técnicas de movimentação lateral, incluindo ataques de ransomware e outros malwares, phishing, entre outros. Depois de estabelecer uma posição na rede, o invasor pode usar essa posição como base para realizar novos ataques.

Ao usar técnicas como sequestro de sessão e spear phishing, o invasor pode se mover pela rede como se fosse um usuário legítimo, sem alertar as medidas convencionais de segurança cibernética sobre sua presença.

Exemplos de movimentação lateral em ataques cibernéticos

A movimentação lateral não é uma técnica, mas um elemento estratégico de um ataque que pode assumir várias formas dependendo das necessidades do invasor. As táticas comuns em ataques de movimentação lateral incluem:

  • Pass the hash (PtH): em vez de usar uma senha em texto sem formatação para se autenticar, o invasor insere o hash de uma senha roubada (a mesma sequência criptografada armazenada no autenticador) e obtém acesso.
  • Pass the ticket (PtT): um invasor usa tíquetes roubados do protocolo de autenticação padrão do Windows (Kerberos) para se autenticar sem precisar saber a senha do usuário.
  • Exploração de serviços remotos: quando entra no sistema, o invasor pode aproveitar vulnerabilidades ou permissões mal configuradas em serviços remotos conectados para obter acesso a outras partes da rede.
  • Spear phishing interno: um invasor que já tem acesso à conta de um usuário legítimo pode usar ataques de spear phishing para obter credenciais compartilhadas e códigos de acesso, entre outros. Vítimas que pensam saber com quem estão falando têm menos probabilidade de suspeitar de um crime.
  • Sequestro de SSH: os invasores podem sequestrar conexões feitas por meio do Secure Shell (SSH), um protocolo de acesso remoto comum em sistemas macOS e Linux, para ignorar a autenticação e obter acesso a outro sistema por meio do túnel SSH criptografado.
  • Compartilhamentos administrativos do Windows: a maioria dos sistemas Windows habilita os compartilhamentos administrativos por padrão. Se um criminoso obtiver acesso administrativo, os compartilhamentos administrativos poderão permitir que ele rapidamente execute a movimentação lateral e explore suas permissões de administração e acesso a outros hosts.

Quais são os desafios de segurança da movimentação lateral?

Em uma topologia de rede que permite a movimentação lateral irrestrita, um ataque pode se mover rapidamente entre diversos hosts, muitas vezes sem disparar qualquer alarme. Alguns malwares agem tão rapidamente que é impossível para qualquer equipe de segurança contê-los, especialmente se estiverem contando com medidas de segurança que só alertam após uma violação.

O crescimento do trabalho híbrido e remoto criou novos problemas. Os usuários se conectam de diversos tipos de terminais, que podem ter controles de segurança exclusivos. Cada um deles pode representar uma possível vulnerabilidade, outro vetor de ataque para os invasores usarem.

O mais perigoso, porém, é o risco das ameaças avançadas persistentes (APTs). Um invasor habilidoso pode permanecer despercebido na sua rede por meses, acessando informações privilegiadas e exfiltrando dados.

Etapas para prevenir e detectar a movimentação lateral

Combater a movimentação lateral é um exercício de duas partes.

Impedir a movimentação lateral em tempo real

Por um lado, é preciso impedir a movimentação lateral antes que ela aconteça. Para fazer isso:

  • Use uma segurança de terminais moderna e eficaz. O trabalho híbrido veio para ficar e, para manter seus funcionários seguros e produtivos, você precisa de soluções de terminais e mobilidade que ofereçam controle de acesso zero trust de ponta a ponta, detecção de ameaças e resposta em uma ampla variedade de dispositivos.
  • Proteja alvos de alto valor. Comprometer uma conta com privilégios administrativos oferece ao invasor acesso aos seus dados mais valiosos e sigilosos. Proteja essas contas com os mais altos níveis de segurança e reserve seu uso apenas para tarefas que exigem os privilégios mais altos.
  • Implemente a microssegmentação. A microssegmentação cria zonas seguras que permitem isolar as cargas de trabalho umas das outras e protegê-las individualmente. Segmentos granulares podem ser adaptados às necessidades de diferentes tráfegos, criando controles que limitam os fluxos de rede e aplicativos entre cargas de trabalho apenas àqueles que são explicitamente permitidos.
  • Mantenha uma abordagem zero trust de segurança em primeiro lugar. Todos na sua organização, e não apenas a TI ou uma pequena equipe de segurança, devem assumir a responsabilidade pela segurança. Garantir que todos os funcionários entendam e sigam os protocolos de segurança comuns e adotem uma abordagem zero trust para a segurança reduzirá o risco de ataques cibernéticos mais do que qualquer outra medida.

Detecção de movimento lateral

Por outro lado, quando os invasores conseguem passar, você precisa ser capaz de detê-los. Para isso, você precisa:

  • Monitorar atividades de login. Ficar de olho no tráfego de autenticação pode permitir detectar comprometimentos diretos e roubos de credenciais antes que os invasores possam causar danos.
  • Executar análises de comportamento. As análises baseadas em aprendizado de máquina podem estabelecer uma referência de comportamento normal do usuário e sinalizar desvios que podem significar um ataque cibernético.
  • Usar tecnologia de deception. Ativos-iscas implantados na rede agem como chamarizes para os criminosos cibernéticos. Sem saber diferenciar entre ativos verdadeiros e ativos falsos, os invasores disparam um alarme silencioso quando interagem com uma isca.
  • Implantar a busca de ameaças: ao adotar uma abordagem proativa para identificar ameaças anteriormente desconhecidas ou em andamento na sua rede, a busca especializada de ameaças (por meio de um serviço gerenciado, para a maioria das organizações) é uma defesa poderosa contra ataques furtivos avançados.

Prevenção e controle da movimentação lateral com zero trust

Tirar proveito da confiança, não apenas da confiança conferida pela autenticação, mas também da confiança conferida pela natureza humana, é um dos truques mais antigos dos invasores. Isso ainda persiste como uma das maneiras mais eficazes de se posicionar para a movimentação lateral no seu ambiente. Para evitar isso, é necessário remover a confiança da equação.

Uma arquitetura zero trust aplica as políticas de acesso com base no contexto — incluindo a função e o local do usuário, seu dispositivo e os dados solicitados — para bloquear acessos inapropriados e tentativas de movimentação lateral em todo o ambiente.

O zero trust requer visibilidade e controle dos usuários e o tráfego do seu ambiente, incluindo o que é criptografado; monitoramento e verificação de tráfego interno do ambiente; e métodos robustos de autenticação multifator (MFA) que vão além de senhas.

De maneira crítica, em uma arquitetura zero trust, o local de rede de um recurso não é o fator mais importante em sua postura de segurança. Em vez de usar uma segmentação de rede rígida, seus dados, fluxos de trabalho, serviços e outros ativos são protegidos pela microssegmentação definida por software, o que permite mantê-los seguros em qualquer lugar.

Evite a movimentação lateral com a Zscaler

As soluções de segurança de rede legadas, como firewalls e VPNs tradicionais, são o problema. Elas criam uma enorme superfície de ataque que os criminosos podem facilmente ver e explorar para entrar no seu ambiente. Pior ainda, elas inserem os usuários diretamente na sua rede, oferecendo aos invasores acesso fácil a dados sigilosos.

É por isso que criamos o Zscaler Private Access™. Como parte da plataforma de Security Service Edge mais bem avaliada e implantada do mundo, ele oferece:

  • Segurança incomparável, muito além das VPNs e firewalls legados: os usuários se conectam diretamente aos aplicativos, não à rede, minimizando a superfície de ataque e eliminando a movimentação lateral.
  • O fim do comprometimento dos aplicativos privados: a proteção inédita para aplicativos com prevenção, deception e isolamento de ameaças integrados minimiza os riscos de usuários comprometidos.
  • Produtividade superior para a atual força de trabalho híbrida: o acesso ultrarrápido aos aplicativos privados se estende perfeitamente para usuários remotos, sedes, filiais e parceiros terceirizados.
  • Uma plataforma de ZTNA unificada para usuários, cargas de trabalho e IoT/TO: conecte-se com segurança a aplicativos privados, serviços e dispositivos de IoT/TO com a plataforma de ZTNA mais abrangente do setor.

O Zscaler Private Access aplica os princípios do privilégio mínimo para oferecer aos usuários conexões diretas e seguras a aplicativos privados, eliminando o acesso não autorizado e a movimentação lateral. Por ser um serviço nativo da nuvem, o ZPA pode ser implantado em poucas horas para substituir VPNs e ferramentas de acesso remoto legadas por uma plataforma holística de zero trust.

O Zscaler Private Access fornece acesso rápido, seguro e ininterrupto a aplicativos privados, minimizando a superfície de ataque e a movimentação lateral.

Recursos sugeridos

Análise da progressão de ataque
Leia o blog
Zscaler Private Access
Saiba mais
Relatório de riscos da VPN 2021
Leia o relatório
O que é o acesso à rede zero trust (ZTNA)?
Leia o artigo
Zscaler Cloud Protection
Saiba mais

01 / 03

Perguntas frequentes